POLITIQUE DE CONFIDENTIALITÉ — Kaliopia
Dernière mise à jour : 1er mai 2026
1. RESPONSABLE DU TRAITEMENT
ATLANTICOM
SIRET : 480 142 033 00012
Siège social : France
Email : contact@atlanticom.fr
Délégué à la protection des données (DPO) : Christophe GIRARD — contact@atlanticom.fr
2. DONNÉES COLLECTÉES ET TRAITÉES
2.1 Données que vous nous fournissez
- Identification : nom, prénom, adresse email professionnelle
- Organisme de formation : raison sociale, SIRET, NDA, numéro de certification Qualiopi, adresse, téléphone
- Données de formation : intitulés, durées, programmes pédagogiques, objectifs, méthodes, évaluations
- Données participants : noms et prénoms des stagiaires saisis dans l'application
- Données clients de vos formations : coordonnées des entreprises clientes (raison sociale, SIRET, contact)
- Enregistrements audio : entretiens de découverte client (uniquement si vous utilisez la fonctionnalité de transcription audio, avec votre consentement explicite)
2.2 Données collectées automatiquement
- Données techniques : adresse IP, type de navigateur, système d'exploitation (journaux de sécurité uniquement)
- Données d'utilisation : actions effectuées dans l'application (statistiques agrégées et anonymisées)
2.3 Données de paiement
Nous ne stockons aucune donnée de carte bancaire. Les paiements sont traités exclusivement par Stripe, certifié PCI-DSS niveau 1.
3. FINALITÉS ET BASES LÉGALES DU TRAITEMENT
| Finalité | Base légale (RGPD) |
|---|---|
| Fourniture du service (génération de documents Qualiopi) | Exécution du contrat — art. 6.1.b |
| Gestion du compte et de l'abonnement | Exécution du contrat — art. 6.1.b |
| Support client | Intérêt légitime — art. 6.1.f |
| Transcription audio (fonctionnalité optionnelle) | Consentement — art. 6.1.a |
| Amélioration du service (statistiques anonymisées) | Intérêt légitime — art. 6.1.f |
| Obligations comptables et fiscales | Obligation légale — art. 6.1.c |
4. DURÉE DE CONSERVATION
- Données de compte : durée de l'abonnement + 3 ans après clôture
- Documents générés : durée de l'abonnement (supprimés à la clôture du compte sur demande)
- Enregistrements audio : 30 jours après la transcription, puis supprimés automatiquement
- Logs de connexion (sécurité) : 12 mois
- Données de facturation : 10 ans (obligation légale — Code de commerce L.123-22)
5. SOUS-TRAITANTS (DESTINATAIRES)
En tant que sous-traitant au sens du RGPD, ATLANTICOM fait appel aux prestataires suivants pour opérer le service Kaliopia. La liste complète et détaillée est disponible sur la page Liste des sous-traitants.
| Sous-traitant | Finalité | Pays | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de données et stockage fichiers | UE (Irlande) | SOC 2 Type II, DPA RGPD |
| Vercel Inc. | Hébergement de l'application | USA / CDN global | SOC 2, DPA RGPD, SCC |
| Stripe Inc. | Traitement des paiements | USA | PCI-DSS niveau 1, SCC |
| Groq Inc. | Transcription audio (Whisper) | USA | Zero-data retention mode, SCC |
| OpenRouter AI | Routage des requêtes IA | USA | Zero-data retention, SCC |
| Anthropic PBC | Génération IA (modèle Claude) | USA | Zero-data retention mode API, SCC |
| Resend Inc. | Emails transactionnels | USA | DPA RGPD, SCC |
| Pappers SAS | Enrichissement données entreprises (SIRET) | France (UE) | RGPD natif, données publiques INPI |
| PDFShift SAS | Conversion HTML vers PDF | France (UE) | RGPD natif, zéro rétention après conversion |
6. TRANSFERTS HORS UNION EUROPÉENNE
Certains prestataires (Vercel, Stripe, Groq, OpenRouter, Anthropic, Resend) sont établis aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (SCC) adoptées par la Commission européenne (décision 2021/914). Ces clauses imposent des garanties équivalentes au RGPD.
Pour les modèles d'IA, nous utilisons exclusivement le mode zéro rétention : les données transmises dans les requêtes ne sont pas conservées ni utilisées pour l'entraînement des modèles.
7. VOS DROITS
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) : obtenir une copie de vos données
- Droit de rectification (art. 16) : corriger des données inexactes
- Droit à l'effacement (art. 17) : demander la suppression de vos données
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré
- Droit d'opposition (art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime
- Droit de retrait du consentement : pour les traitements fondés sur le consentement (audio)
- Droit à la limitation (art. 18) : restreindre temporairement un traitement
Exercice des droits : par email à contact@atlanticom.fr
Délai de réponse : 30 jours maximum (délai légal RGPD).
Une pièce d'identité peut être demandée pour vérifier votre identité.
8. SÉCURITÉ DES DONNÉES
Kaliopia met en œuvre les mesures de sécurité suivantes :
- Chiffrement en transit : TLS 1.3 sur toutes les communications
- Chiffrement au repos : AES-256 pour les données stockées
- Authentification sans mot de passe : OTP par email (aucun mot de passe stocké)
- Isolation des données : Row Level Security (RLS) — chaque organisme n'accède qu'à ses propres données
- Sauvegardes : quotidiennes automatiques, rétention 30 jours
- Journalisation : logs d'accès et d'erreurs conservés 12 mois
9. ACCORD DE TRAITEMENT DES DONNÉES (DPA)
En tant qu'organisme de formation utilisant Kaliopia, vous êtes responsable du traitement de vos données et de celles de vos clients et stagiaires. ATLANTICOM agit comme votre sous-traitant RGPD.
Notre Accord sur le Traitement des Données (DPA) détaille les obligations contractuelles encadrant cette relation de sous-traitance, conformément à l'art. 28 du RGPD. Il est accepté automatiquement lors de toute souscription d'abonnement.
10. RÉCLAMATION AUPRÈS DE LA CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr ou par courrier : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
11. MODIFICATIONS DE LA PRÉSENTE POLITIQUE
Toute modification substantielle de cette politique fera l'objet d'une notification par email. La version en vigueur est celle affichée sur cette page.